添加规则设置完毕后，点击“应用设置”按钮，然后重启系统。在重启系统前要检查SSM的设置，保证SSM随系统启动而加载运行。当系统重启时，会自动阻止该进程调用rejoice.dll木马文件。由于木马文件没有任何进程调用，所以就可以直接删除了。

　　此外，我们还可以利用其它工具来清除DLL木马后门，例如Tiny Personnal Firewall 2005(TPF)防火墙的“balcklist”禁止运行功能等，清除的原理都是一样的，总之是在木马DLL文件被调用之前，阻止其被进程加载，从而达到结束木马进程并删除木马的目的。

　　4、通过系统权限法来清除DLL木马

　　在Windows系统中，NTFS分区格式具有强大的文件限制设置功能，可以设置某个文件是否可以被程序调用访问等。通过这个功能，我们一样可以阻止木马调用相应的DLL文件，从而彻底地清除掉DLL木马文件。

　　双击打开“我的电脑”，点击菜单命令“工具”→“文件夹选项”→“查看”，在高级设置的选项卡下去掉“简单文件共享”的选择。

　　然后定位到无法删除的DLL文件上，右键点击该文件，在弹出菜单中选择“属性”命令，单击“高级”按钮，在弹出的窗口中去掉“从父项继承那些可以应用的到子对象的权限项目，包括那些在此明确定义的项目”不被选中。再在弹出的窗口中单击“删除”，再依次单击“确定”。这样就没有任何用户可以访问和调用这个DLL木马文件了。重新启动系统就可以删除该DLL文件了。

　　5、恢复系统

　　将DLL文件删除后，还要到注册表中找到所有与该DLL木马关联的项目，尤其是：

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　等几个与自动启动有关的项目。

　　另外，DLL木马不仅仅局限存在于Run、Runonce这些众所周知的子键，而有可能存在于更多的地方。例如对于后门类的DLL来说“KnownDLLs”就是再好不过的藏身之处。在注册表的“HEKY_LOCALMACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs”子键下，存放着一些已知DLL的默认路径。假设DLL木马修改或者增加了某些键值，那么DLL木马就可以在系统启动的时候悄无声息地代替正常的DLL文件被加嵌入到相应的进程中。

　　三、总结

　　总的来说，DLL木马后门的种类极多，木马选择的注册表选项及其系统进程也不尽相同。清除DLL木马的总体思路是这样的：

　　在碰到DLL注入类木马时，我们可以首先考虑用procexp之类的工具，查找出DLL类木马的宿主进程。找到宿主进程后，如果是注入到普通可结束的进程中，可以直接将宿主进程结束后直接删除木马文件即可。

　　如果DLL木马是注入到系统关键进程中的话，可以考虑用IceSword卸载DLL文件;如若失败，那么直接用SSM建立规则或者通过阻止DLL文件的加载就可以了。

上一页  [1] [2]